Caso Auditoria Programa

Auditora a la Seguridad y Ambiente de Control del Area de Informtica
ENAMI
Programa de auditoria
Seguridad fsica CPD del banco mundial.
Actividades
Hecho por
/ -fecha
Coordinacin Trabajo
WV/ 10-08
Referencia
Hoja de
Trabajo
Preparacin y envo carta de notificacin a Auditado

o Redaccin
o Revisin
o Envo
o Confirmacin
Obtencin de Conocimiento (en terreno)
MA/15-08
Obtencin de antecedentes Tcnicos generales, relativos a:

Solicitar al Gerente de Sistemas de Informacin la
relacin existente del costo-beneficio de los sistemas
computarizados utilizados en el banco.
Solicitar cartas gantt, manuales de procedimientos, polticas
planificaciones y planes relacionados al CPD.
Conocer la situacin actual del rea de informtica, las
actividades y esfuerzos que se realizan especficamente en el
CPD del Banco para el logro de los objetivos.
Asegurar integridad, confidencialidad y confiabilidad de la
informacin trabajada por el CPD (medidas )
Conocer las Polticas de inversin y contratos de mantencin
en general necesarios que tengan relacin al CPD.
Obtencin de antecedentes Tcnicos especficos
MA/31-08
Personal que trabaja en el CPD (organigrama)

Relevamientos de controles existentes indagando al personal.
Accesos al centro de procesamientos de datos (CPD)
Mtodos de asignacin de respaldos.
www.eduardoleyton.com

ENAMI
Bitcora de respaldos
Bitcoras de procesos bach
Solicitar las asignaciones de cargo y claves de acceso del los
operadores de sistemas.
Con que frecuencia se realizan los respaldos
Que tipos de medios se utilizan para hacer los respaldos
Control de proveedores que hacen mantencin
Control personal de aseo.
WV/31-08
Anlisis de la informacin obtenida

Evaluar la relacin costo-beneficio existente para el rea de
CPD
Evaluar y revisar los distintos procedimientos y polticas
existentes para el rea de CDP
Indagar con respecto a las operaciones que se realizan en el
CDP
Evaluar, revisar e indagar sobre la integridad, confidencialidad
y confiabilidad utilizada en los procesos de operaciones del
CPD.
Evaluar las polticas de inversin y gastos, si estas estn a
corde con los objetivos de la gerencia
Solicitar a la gerencia de RRHH un listado con el personal que
trabaja en el CPD del banco
Revisar los siguientes tipos de controles:
Preventivos
Detectivos
Correctivos
Verificar los accesos al centro de procesamientos de datos,
quienes deben estar ah, quien entra al CPD y con que
autorizacin
Verificar, revisar e indagar las asignaciones de respaldos y su
continuidad, adems revisar las asignaciones de turno
Revisar las bitcoras de respaldo, quien las realizo y si estn
acore con los turnos trabajados, estas deben contener
nmeros de procesos, hora y fecha, quien la ejecuto, donde se
encuentra fsicamente esta informacin.

ENAMI
Revisar la que los procesos batch se hayan ejecutado cuando
corresponde y es necesarios revisar si esta informacin debe
ser enviada a alguien del banco.
Revisar, verificar e indagar que existan controles de seguridad
del CPD: Cuantas puertas de entrada y salidas de emergencia
existen, como se hace ingreso al CPD mediante tarjetas
magnticas, Registro de firmas, sistemas biomtricos, huellas
digitales, geometra de la mano, escaneo retinal, verificacin
de voz, dinmica de firma, etc.
Revisar, verificar e indagar sobre las medidas de seguridad del
departamento de operaciones de; adems revisar sobre la
existencia de ventanales para poder observar el CDP, revisar
el sistema de aire acondicionado los ductos deben siempre
estar limpios, sistema de deteccin de humo, revisar si existen
extintores de incendio y sus fechas de vencimiento ver el peso
que tienen y si los operadores de CPD saben utilizarlo, donde
estn fsicamente estos extintores, piso y/o cielo falso, letreros
que indique no fumar, ingreso restringido, salida de
emergencia.
Revisar los posibles contratos que existan con empresas de
seguridad, limites de acceso a la organizacin, se investiga a
los vigilantes si son contratados directamente
Verificar que la seguridad se efecte las 24 horas del da
Revisar las claves de acceso del personal que no trabaja en
CPD, como los programadores, jefes de proyecto, analistas,
etc.
Revisar si el CPD tiene salida directa al exterior del banco.
Verificar sobre la existencia de alarmas, quien la ejecuta,
sonido, donde suena, etc.
Verificar que los interruptores de energa elctrica y acceso a
redes estn situados en lugares que no representes peligro.
Indagar sobre el control del personal de aseo, cuantas llaves o
tarjetas existen para tener acceso al CPD, quien las tiene,
donde las manejas, etc.
Indagar sobre los planes de contingencias relacionados a
posibles cortes de luz, robos de respaldos, incendio, etc.

ENAMI
Programa de Auditora
Empresa Nacional de Minera

(ENAMI)
Auditora a la Seguridad y
Ambiente de Control del Area
de Informtica de Oficina
Central
Direccin de Fiscalizacin
6 de junio de 1997

ENAMI
Contenido
I.
Obtencin de Conocimiento
II.
Definicin de Objetivos
III.
Metodologa de Auditora a aplicar
IV.
Procedimientos de Auditora
V.
Programa de Trabajo

ENAMI
I .
OBTENCIN DE CONOCIMIENTO
Recopilar informacin y conocimiento relativo a la

seguridad lgica y fsica del rea de informtica para
evaluar el ambiente de control asociado a la gestin
informtica
de
incorporacin,
ENAMI,
en
custodia
temas
uso
concernientes
de
tecnologas
a
de
tratamiento de la informacin. Lo anterior se har en

base a pruebas de cumplimiento pruebas sustantivas u
otros antecedentes que permitan orientar el trabajo
de auditora a la determinacin de debilidades, riesgos
y obtencin de evidencias en el ambiente de control
del rea informtica de ENAMI.
Actividades generales:
1.
Solicitar,
analizar
evaluar
las
polticas
informticas de ENAMI.
2.
Evaluar
las
normativas
internas
de
ENAMI
que
rijan el accionar de la gestin de informtica.

3.
Solicitar informacin de la organizacin del rea

de informtica y su estructura funcional.
4.
Analizar
las
internos
relevantes
del
actas
de
rea
tomadas
reuniones
respecto
en
relacin
a
a
de
comits
decisiones
la
gestin

ENAMI
informtica de la Empresa que afecten o impacten
en el ambiente de control.
5.
Analizar
las
Informtica
actas
de
reuniones
de
Comit
relativo a decisiones adoptadas en
temas de seguridad e incorporacin de tecnologa

informtica, estndares y polticas de hardware y
software institucional.
6.
Evaluar
alianzas
estratgicas-tecnolgicas
contratos con entidades externas de servicio de

procesamiento de datos, proveedores de soluciones
computacionales y /o soporte tcnico.
7.
Solicitar
evaluar
documentacin
del
Plan
Informtico de ENAMI. (Institucional)

8.
Indagar la existencia de un Comit de Informtica

de
ENAMI
analizar
las
actas
de
sesiones
del
Comit de sta.
9.
Indagar la existencia de auditoras anteriores que

permitan complementar la informacin a compilar.
10.
Otros
antecedentes
escritos
de
estratgico-tecnolgico-informtico
que
carcter
oriente
el desarrollo de la auditora.
11.
Antecedentes
de
programas
anuales
de
capacitacin para el rea de de informtica.

12.
Antecedentes,
Planes
de
conocimiento
Contingencias
cumplimiento
aplicados
al
rea
de
de
informtica.

ENAMI
13.
Respaldo
energtico
continuidad
de
las
operaciones y servicio computacional.

14.
Estructuras de Controles Detectivos, Preventivos

y Correctivos asociados al rea de informtica.
II.
OBJETIVOS
OBJETIVO GENERAL
El objetivo del presente trabajo consiste en relevar y
evaluar las estructuras de control que sustentan el
ambiente
de
informtica
Interno
seguridad
de
la
entorno
fsica
Empresa
a
la
de
lgica
del
Minera.
incorporacin
rea
de
El
Control
uso
de
tecnologas de informacin en la Empresa de modo de

satisfacer sus requerimientos tecnolgicos presentes y
futuros a nivel integral.
Este anlisis ser realizado en trminos de examinar
las
principales
organizacin y
caractersticas
que
sustentan
su
sus controles internos asociados al
rea de Informtica de la Empresa de Oficina Central

mediante la verificacin de la existencia, calidad y
aplicacin
de
polticas,
normas
procedimientos
especficos asociados al tema de esta auditora.

ENAMI
OBJETIVOS ESPECFICOS
El cumplimiento del objetivo general de este trabajo
considera lograr los siguientes objetivos especficos:
1.
Evaluar especficamente los niveles de seguridad

relacionados
con
el
control
de
datos,
estandarizacin, normas de resguardo, integridad y

custodia de informacin magntica.
2.
Evaluar especficamente el ambiente de seguridad

fsica, sus controles de acceso, e identificacin de
reas restringidas.
3.
Indagar y analizar la adecuada continuidad de las

operaciones y servicio computacional del rea de
informtica.
4.
Evaluar los principales contratos de asistencia

tcnica y soporte tecnolgico que los proveedores
externos prestan a la Empresa Nacional de Minera.
5.
Verificar
la
existencia
Polticas
Informticas,
cumplimiento
normas
de
las
procedimientos
vigentes.

ENAMI
6.
Verificar la existencia, difusin y evaluacin de

Planes
de
Contingencias
asociadas
al
rea
de
Informtica.
7.
Evaluar
el
cumplimiento
de
las
funciones
definidas entorno a la organizacin y estructura

jerrquica del rea de informtica.
8.
Evaluar los controles lgicos y fisicos entorno a

procedimientos
de
comunicacin,
protocolos
dispositivos de interconexin con otros sistemas

de informacin externos a la Empresa, tales como
red
corporativas
reded
globales
(internet,intranet)
9.
Indagar la existencia de procedimientos escritos y

automatizados
para
prevenir
reconstruir
software contaminado por virus computacional.

10.
Indagar
verificar
la
existencia
de
un
Plan
Informtico en ENAMI.
11.
Relevar y evaluar los procedimientos asociados a

la
generacin,
aprobacin,
comunicacin
de
materializacin de un Plan Informtico

12.
Tomar conocimiento de la existencia y calidad de

las
polticas,
relacionados
con
normas
el
objeto
tema
procedimientos
de
nuestra
auditora.
10

ENAMI
13.
Evaluar en forma especfica la organizacin del

Centro de Informtica y los controles internos
asociados
14.
a ellos.
Identificar
evaluar
Informticos
tendencias
de
los
la
principales
Empresa
tecnolgicas
del
Proyectos
respecto
mercado
las
sus
correspondientes procedimientos de administracin

y control.
III.
METODOLOGA DE AUDITORA
El presente trabajo contempla la obtencin y anlisis

de informacin estratgica, planificacin informtica,
su organizacin y control interno especfico del rea
de
informtica,
disponibilidades
informticos,
principales
tecnolgicas
en
contratos
concordancia
con
de
recursos
por
alianzas-
los
objetivos
definidos por la Empresa, vigentes a la fecha de corte.

Lo anteriormente sealado se basar en el anlisis de
los
antecedentes
proporcionados
por
ENAMI,
particularmente por la Gerencia de Informtica, quin

entregar
la
procedimientos
documentacin
y
otros
informacin
documentos
de
tcnicos
relacionados con la gestin informtica de ENAMI.
11

ENAMI
Concretamente,
reuniones
en
Oficina
tcnicas
Central
pertinentes
se
con
especialistas, consultores, ingenieros

operadores,
todos
ellos
vinculados
tecnologa,
procesamiento
informacin,
seguridad
fsica
efectuarn
ejecutivos,
de sistemas y
al
tema
explotacin
y
lgica
del
de
la
de
la
rea
de
informtica de Oficina Central de la Empresa Nacional

de Minera.
IV.
Las
PROCEDIMIENTOS DE AUDITORIA
actividades
directamente
relacionadas
con
la
determinacin niveles de riesgos, obtencin de pruebas

y evidencias de auditora son las siguientes:
1. Revisar,
identificar
aquellas
decisiones
estratgicas consignadas en las actas de sesiones de

directorio,
comit
de
informtica
polticas
informticas y documentacin afn, respecto a temas

de seguridad computacional y ambiente de control
del rea de informtica de ENAMI.
2. Revisin
del
cumplimiento
Plan
de
Informtico
aspectos
verificar
estratgicos
desde
el
la
perspectiva de seguridad fsica y lgica.
12

ENAMI
3. Inspeccin
ocular
la
infraestructura
de
procesamiento de datos y sus niveles de control de

acceso a las reas restringidas.
4. Revisar
contratos
de
proveedores
externos,
que
entregan servicios estratgicos de procesamiento de

informacin.
5. Constatar
en
reuniones
de
coordinacin
los
niveles que corresponda, del grado de satisfaccin

del
usuario
como
receptor
beneficiado
de
las
decisiones estratgicas adoptadas.

6. Indagar
la
optimizacin
inserta
existencia
de
de
adquisicin,
plataforma
posterior
la
de
cambio,
computacional,
elaboracin
del
Plan
Informtico.
7. Verificar la existencia, difusin, ejecucin o prueba
de
Planes
de
Contingencias
asociados
al
rea
de
informtica.
13

ENAMI
Programa de Trabajo
Descripcin de Actividades
Fecha Refer. Contro

l
PREPARACIN Y ENVO DE OFICIO INICIO DE AUDITORIA A 0697

ENAMI.
OBTENCIN DE CONOCIMIENTO:
Obtener antecedentes generales sobre la Gestin estratgica
Informtica:
1
Solicitud de Plan estratgico de la Empresa Nacional de
Minera, slo lo relacionado con temas de tecnologa
informtica.
2
Solicitud del Plan Informtico de la Empresa Nacional de
Minera Actualizado (Institucional o por Plantas)
3
Documento de constitucin de Comit Informtico e
Integrantes.
4
Actas de Reuniones relacionados con decisiones de temas
tecnolgicos e informticos y de seguridad lgica y fsica
ltimos perodos.
5
Actas sesiones del Comite de Informtica, ltimos 3 meses.
6
Solicitar fotocopias de contratos de servicios y soporte de
tecnologa de Informacin de carcter estratgico para la
Empresa. (Principales Contratos)
7
Solicitar Auditoras Computacionales o Informticas Recientes.
8
Solicitar Estructura y organizacin funcional del Area de
Informtica. (Organigrama)
9
Solicitar informacin tcnica relacionada con la Plataforma de
Hardware y Software que sustentan el servicio de
procesameiento de datos.
10
Solicitar inventario y/o catastro de computadores personales,
main framne, redes y sistemas de comunicaciones.
11
Solicitar Presupuesto Anual 1995, 1996, 1997 para el rea de
informtica.
12
Solicitar Polticas de Informtica.
13
Solicitar Plan de Contingencias y de Emergencia relacionados
con la gestin y servicio computacional.
14
Otros antecedentes de carcter estratgico-informtico
relacionado con la seguridad y continuidad de las
operaciones.
1
2
Visita en Terreno: (Interiorizarse respecto a:)

La organizacin y calidad del servicio computacional.
Dotacin de RR.HH. Asignados al rea de informtica.
Auditor: Eduardo Leyton G.

ENAMI
Programa de Trabajo
Fecha Refer. Contro

l
3
4
5
1
2
.
1
2
3
4
5
6
7
8
9
10
11
12
13
Plataforma y configuracin computacional .

Estndares de hardware y software de la Emrpesa.
Sistemas de Respaldo Magntico.
Antecedentes Legales y Normativas:
Solicitar normas internas NE relativas a materias tecnolgicas
e informticas
Antecedentes legales que regulen la adquisicin de bienes y
servicios computacionales y tecnolgicos .
ANLISIS DE LA INFORMACIN OBTENIDA
Evaluar si las inversiones en tecnologa corresponden a lo
definido y descrito en el Plan Informtico.
Evaluar los Estndares informticos con las tendencias del
mercado tecnolgico.
Evaluar la coherencia y aplicabilidad de las Polticas
Informticas con la definicin estratgica de la Empresa
(como negocio).
Evaluar conocimiento y aplicabilidad del Plan de Contingencia
(pruebas)
Comprobar la existencia y operabilidad de sistemas de
respaldo energtico.
Comprobar la existencia de controles preventivos, detectivos y
correctivos frente a siniestros y eventos en torno al rea de
informtica.
Analizar los contratos por incorporacin de tecnologa y
servicios afines con el fin de verificar su legalidad y
cumplimiento con lo definido estratgicamente por la
Empresa.
Comprobar existencia y uso de sistemas de apoyo a la gestin
computacional. (Supervisores y Operadores)
Evaluar la calidad del servicio computacional ofrecido por el
rea de informtica.
Evaluar el Front-End y BackOficce de los sistemas
computacionales.
Evaluar la organizacin y estructura interna de la rea de
informtica.
Verificar y evaluar la funcionalidad definida para el
organigrama del rea de informtica.
Verificar y evaluar la existencia y funcionamiento de
externalizacin de servicios computacionales (outsourcing)

ENAMI
Programa de Trabajo
Fecha Refer. Contro

l
14
15
Evaluar los sistemas de comunicaciones con sistemas

remotos (redes corporativas o redes globales. (internet,
intranet).
Evaluar el grado de satisfaccin de los usuarios de los
servicios computacionales del rea de informtica.
16
Evaluar el grado de satisfaccin de los usuarios de los

servicios computacionales del rea de informtica.
17
Evaluar el control interno del rea de informtica:

-Existencia de reas restringidas.
-Sistemas detectores de humo, incendios,cambios de temp.
-Sistemas automticos o manuales de explusin de gas haln 1211.
-Piso y cielo falso.
-Ubicacin y distribucin de cables de seal, Hubs, Rack de
comunicaciones, otros.
-Ubicacin de la sala de cmputos.
- Distribucin del computador,servidores, terminales y perifericos.
-Organizacin de turnos de operadores y supervidores.
-Sistemas de Control de Versiones de programas fuentes.
-Sistema de Control y Seguimiento de Fallas.
-Bitcoras de Procesos, cambio de turnos.
-Procedimientos y mecanismos de respaldo magntico.
-Activacin de Log de eventos.
-Metodologas de Desarrollo
-Soporte tcnico y mantencin equipos personales y Host Central
-Entrenamiento del personal de operaciones en combate de siniestros.
-Verificar cumplimiento de normas internas de seguridad entorno al
area de informtica y sala de cmputos.
-Luces de emeregencia
-Conexin de alarmas a centros de Cia. de Bomberos
18
Evaluar principales Proyectos de ndole Tecnolgicos
V
1
2
3
4
5
6
PREPARACIN INFORME PRELIMINAR

Objetivo General
Objetivos especficos
Alcance de la Auditora
Metodologa aplicada.
Opinin General
Observaciones detalladas con debildiades y recomendaciones

ENAMI
Programa de Trabajo
Fecha Refer. Contro

l
Conclusin
B Direccin de Fiscalizacin
Fiscalizador
VB
Programa de Trabajo
Auditora a la Explotacin del Sistema Computacional de Control de Gastos
-CONGAFecha Inicio: 27 de abril de 1999
Fecha Trmino: 3 semanas
I.
Preparacin y envo carta de notificacin a ENAMI de inicio

de Auditora.
II.
Obtencin de Conocimiento: (Evaluacin Control Interno

A.T.I.)
Fecha
27.04.99
Refer
.
Contro
l
ok

ENAMI
Programa de Trabajo
1. Obtener antecedentes Globales de Gestin Informtica:
1.1 Solicitud del Plan Informtico de la Empresa Nacional de
Minera Actualizado.
1.2 Solicitar Estructura y organizacin del Area de Informtica.
(Organigrama)
1.3 Solicitar Plataforma de Hardware y Software que sustentan el
servicio de computacional e informtico.
1.4 Actas sesiones del Comite de Informtica, en las cuales se haya
aprobado el desarrollo y construccin del sistema en cuestin.
1.5 Solicitar
Auditoras
Computacionales
o
Informticas
relacionadas con el desarrollo de la presente auditora.
2. Visita en Terreno: Observar y evaluar la:
2.1 Organizacin del servicio computacional (estructura del servicio)
y asistencia al usuario; servicio de postimplementacin.
2.2 Dotacin de recursos humanos asignados al rea de informtica
2.3 Plataforma Configuracin computacional.
2.4 Estandarizacin del hardware y software de la Empresa.
2.5 Sistemas de Respaldo Magntico.
2.6 Grado de compenetracin del usuario con su sistema.
3. Antecedentes Legales y Normativos :
3.1 Solicitar Normas Internas de elaboracin del sistema de
prespuesto y control de gastos.
3.2 Antecedentes legales, emanados del Ministerio de Hacienda,
Mideplan, Cochilco, que regulen la asignacin de presupuesto y
control de gastos.
3.3 Solicitar normas de programacin y Metodologa de Desarrollo.
3.4 Soliciitar normas de control de versiones y explotacin de sistemas.
3.5 Solicitar normas de respaldo de informacin magntica.
4. Antecedentes Tcnicas del Sistema Computacional.: Solicitar :
4.1 Antecedentes de la concepcin, definicin de requerimientos, factibilidad,
diseo, construccin e implementacin del Sistema Computacional CONGA.
4.2 Diseo Lgico del Sistema, esquema administrativo de trabajo, D.F.D.
principales funcionaes vinculadas con el sistema computacional, formularios,
Fecha
Refer
.
Contro
l

ENAMI
Programa de Trabajo
niveles de autorizacin y flujo de informacin del Sistema CONGA.
4.3 Diseo Fsico del Sistema, D.E.R., modelo canonico, secuencia de procesos,
descripcin de tablas identificacin de PK, FK, y factores de normalizacin.
4.4 Informacin sobre nivles de autorizaciin y control de acceso al sistema.
4.5 Informacin sobre referencia cruzada de Aplicaciones-Tablas (archivos)
4.6 Definicin de los principales algoritmos usitlizados por el sistema y definidos
por el usuario y la Empresa.
4.7 Codificacin utilizada por el sistema.
4.8 Diagrama jerarquico de opciones o funciones del sistema jerarquizado.
4.9 Organizacin de disco, biblioteca, libreras donde reside el sistema y
mecanismos de respaldos magnticos.
4.10 Una breve descripcin de las restricciones, factores criticos que impactan o
afectan al sistema.
4.11 Descripcin de las herramientas y actual apoyo computacional
complementario utilizado por el usuario.
4.12 Procedimientos asociados a la explotacin del sistema en estudio.
4.13 Manual de Explotacin de Sistemas.
4.14 Secuencia Crtica de Procesos y Respaldo Magntico.
III.
5.1
5.2
5.3
5.4
5.5
5.6
5.7
Anlisis de la Informacin Obtenida

Aspectos Generales y Complementarios
Evaluar la adecuacidad de la Metodologa de Desarrollo de Sistemas,
especialmente en la confeccin del Diseo Fsico.
Identificar la existencia y razonabilidad de las Hojas de Cambio o de los
procediientos de control de versiones. Verificar si existen o han existeido
aplicaciones que han sufrido cambios recientes y si stos estn en
conocmiento formal y documentados tanto por el rea usuaria como por el
rea de mantencin de sistemas.
Indentificar la estructura adminsitrativa y funcional de los usuarios al sistema.
Verificar que los atributos definidos para el ingreso al sistema esten
correlacionados con su funcin y nivel de autoridad y sean apropiados para su
explotacin del sistema.
Conformar el estndar de hardware y software; y a partir de esto obtener la
configuracin potencial.
Tomar conocimiento y documentarse de la harramientas de desarrollo en las
cuales se desarrollo y construy el sistema CONGA.
Vefiricar la existencia, cumplimiento de los procedmientos de respaldos
Fecha
Refer
.
Contro
l

ENAMI
Programa de Trabajo
Fecha
Refer
.
magnticos y probar la capacidad real de restore

Aspectos Tcnicos Especficos.
6.1 Confrontar DB o DER con listado de cprincipales aplicaciones compilados,
verificando la consistencia de archivos o tablas que utiliza.
6.2 Confrontar FD con variables de memoria, de pantalla, listados o reportes,
verificando la correcta movilidad de ellos.
6.3 Estructurar set de prueba con informacin magntica de entreda con datos
erroneos y correctos.
6.4 Verificar en pantalla el funcionamiento de las aplicaciones, en base a set de
pruebas diseado en punto anterior.
6.5 Verificar validaciones de campo, fechas, operabilidad, autodocumentacin,
manejo de pantalla v/s documento fuente.
6.6 Verificar grado de formalidad y coordinacin entre el rea de usuaria y
explotacin de sistemas.
6.7 Indagar la fracuencia de cadas en las comunciaciones, en los programas, sus
modificaciones y la existencia de log de eventos y bitacora de errores.
6.8 Indagar la existencia de adecuados controles de aplicaciones.
6.9 Verificar la existencia y calidad de adecuados controles de datos,
especficamente vinculados quew en todo momento sea exactos, completos y
autorizados.
6.10 Verificar la confiabilidad, confidencialidad, seguridad lgica, integridad de su
informacin magntica y disponiblidad el sistema CONGA.
VI.
5.1
5.2
5.3
5.4
5.5
5.6
5.7
Preparacin Informe Preliminar

Objetivo General
Opinin General
Observaciones detalladas con debildiades y recomendaciones
Conclusin
VB Direccin de Fiscalizacin
VB
Contro
l

ENAMI
Programa de Trabajo
Fecha
Refer
.
Contro
l
Fiscalizador
IV.
PROCEDIMIENTOS GENERALES DE AUDITORA
Las actividades directamente relacionadas con la determinacin niveles de riesgos, obtencin de pruebas y
evidencias de auditora son las siguientes:
1. Verificar la existencia del diseo lgico, fsico, modelamiento de datos y la estructura de procesos del
sistema para analizar su correlacin con los requerimientos de informacin institucional, evaluar su
normalizacin de datos, su efeciencia como modelo para capturar, resguardar y accesar informacin.
2. Identificar y evaluar los potenciales riesgos de las principales tablas y aplicaciones del sistema
computacional.
3. Identificar el grado de formalidad y coordinacin entre el rea de explotacin de sistemas y el rea usuaria
(reparticiones, contabilidad, control de gatos y prespuestos)
4. Observar y evaluar los procedimientos definidos y aplicados, por el rea usuaria, para efectuar los cierres
y cuadraturas de procesos.
5. Indagar y evaluar los procedimientos manuales o automatizados para efectuar cierres computacionales y/o
respaldos magnticos.
6. Verificar la existencia y constante actualizacin y revisin de bitacoras de procesos, log de errores o de
eventos.
7. Verificar le existencia y cumplimiento de normas de control de versiones y traspaso de aplicaciones desde
el rea de mantencin a explotacin de sistemas.

ENAMI
EMPRESA NACIONAL DE MINERIA

AUDITORIA A LA EXPLOTACION DEL
SISTEMA DE GASTOS Y PRESUPUESTOS CONGA
I.
Recopilar informacin tcnica y administrativa relacionado con el diseo, construccin e implementacin del
sistema computacional de Control de Gastos y Presupuesto - CONGA-, focalizando los esfuerzos, tanto en la
explotacin como en el diseo y ejecucin de controles de aplicacin del sistema.
Actividades especficas:
1. Solicitar cuerpos normativos del rea de informtica de ENAMI.
2. Evaluar las normativas de internas del rea de informtica ENAMI relacionado con la gestin de
desarrollo de proyectos informaticos, programacin y explotacin de sistemas.
3. Identificar hitos de control en el sistema computacional, tanto administrativos desarrollados por el usuario
y el explotador de sistemas, como automatizados insertos en las aplicaciones.
4. Determinar aplicaciones y procesos criticos del sistemas.
5. Evaluar la estructura de almacenamiento de informacin magntica del sistema CONGA.
6. Solicitar y evaluar la documentacin de cierre y cuadraturas utilizados por el usuario.
7. Indagar la existencia de coordinacin y formalidad entre Explotador de Sistemas y Usuario del CONGA.
8. Indagar la existencia de auditoras anteriores que permitan complementar la informacin a compilar.
9. Otros antecedentes escritos de carcter estratgico-tecnolgico-informtico que oriente el desarrollo de la
auditora.
10. Evaluar el grado de coordinacin entre las reas de explotacin de sistemas, control de presupuestos,
contabilidad y reparticiones, faenas y/o plantas fuentes de informacin del sistema CONGA.

ENAMI
Programa de Auditora

(ENAMI)
Auditora a la
Funcin de Administracin de BD,
Seguridad Fsica y Lgica de las
Redes de Comunicacin de Datos.
Direccin de Fiscalizacin
22 de junio de 1998

ENAMI
Contenido
I.
Obtencin de Conocimiento
II.
Definicin de Objetivos
III.
Metodologa de Auditora a aplicar
IV.
Procedimientos de Auditora
V.
Programa de Trabajo

ENAMI
I.
Recopilar informacin y conocimiento relativo a la seguridad lgica y fsica del rea de informtica para
evaluar el ambiente de control asociado a la gestin informtica de ENAMI, en temas concernientes a
incorporacin, custodia y uso de tecnologas de tratamiento de la informacin. Lo anterior se har en base a
pruebas de cumplimiento pruebas sustantivas u otros antecedentes que permitan orientar el trabajo de
auditora a la determinacin de debilidades, riesgos y obtencin de evidencias en el ambiente de control del
rea informtica de ENAMI.
Actividades generales:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
Solicitar, analizar y evaluar las polticas informticas de ENAMI.

Evaluar las normativas internas de ENAMI que rijan el accionar de la gestin de informtica.
Solicitar informacin de la organizacin del rea de informtica y sus estructura funcional.
Analizar las actas de reuniones de comits internos del rea respecto a decisiones relevantes tomadas
en relacin a la gestin informtica de la Empresa que afecten o impacten en el ambiente de control.
Analizar las actas de reuniones de Comit Informtica relativo a decisiones adoptadas en temas de
seguridad e incorporacin de tecnologa informtica, estndares y polticas de hardware y software
institucional.
Evaluar alianzas estratgicas-tecnolgicas o contratos con entidades externas de servicio de
procesamiento de datos, proveedores de soluciones computacionales y /o soporte tcnico.
Solicitar y evaluar documentacin del Plan Informtico de ENAMI. (Institucional)
Indagar la existencia de un Comit de Informtica de ENAMI y analizar las actas de sesiones del
Comit de sta.
Indagar la existencia de auditoras anteriores que permitan complementar la informacin a compilar.
Otros antecedentes escritos de carcter estratgico-tecnolgico-informtico que oriente el desarrollo
de la auditora.
Antecedentes de programas anuales de capacitacin para el rea de de informtica.
Antecedentes, conocimiento y cumplimiento de Planes de Contingencias aplicados al rea de
informtica.
Respaldo energtico y continuidad de las operaciones y servicio computacional.
Estructuras de Controles Detectivos, Preventivos y Correctivos asociados al rea de informtica.

ENAMI
II.
OBJETIVOS
OBJETIVO GENERAL
El objetivo del presente trabajo consiste en relevar y evaluar las estructuras de control que sustentan el
ambiente de seguridad fsica y lgica del rea de informtica de la Empresa de Minera. El Control Interno
entorno a la incorporacin y uso de tecnologas de informacin en la Empresa de modo de satisfacer sus
requerimientos tecnolgicos presentes y futuros a nivel integral.
Este anlisis ser realizado en trminos de examinar las principales caractersticas que sustentan su
organizacin y sus controles internos asociados al rea de Informtica de la Empresa de Oficina Central
mediante la verificacin de la existencia, calidad y aplicacin de polticas, normas y procedimientos
especficos asociados al tema de esta auditora.
OBJETIVOS ESPECFICOS
El cumplimiento del objetivo general de este trabajo considera lograr los siguientes objetivos especficos:
1.
2.
3.
4.
5.
6.
7.
8.
9.
Evaluar especficamente los niveles de seguridad relacionados con el control de datos,

estandarizacin, normas de resguardo, integridad y custodia de informacin magntica.
Evaluar especificamente el ambiente de seguridad fsica, sus controles de acceso, e identificacin de
reas restringidas.
Indagar y analizar la adecuada continuidad de las operaciones y servicio computacional del rea de
informtica.
Evaluar los principales contratos de asistencia tcnica y soporte tecnolgico que los proveedores
externos prestan a la Empresa Nacional de Minera.
Verificar la existencia y cumplimiento de las Polticas Informticas, normas y procedimientos
vigentes.
Verificar la existencia, difusin y evaluacin de Planes de Contingencias asociadas al rea de
Informtica.
Evaluar el cumplimiento de las funciones definidas entorno a la organizacin y estructura jerrquica
del rea de informtica.
Evaluar los controles lgicos y fisicos entorno a procedimientos de comunicacin, protocolos y
dispositivos de interconexin con otros sistemas de informacin externos a la Empresa, tales como
red corporativas o reded globales (internet,intranet)
Indagar la existencia de procedimientos escritos y automatizados para prevenir y reconstruir
software contaminado por virus computacional.

ENAMI
10.
11.
Indagar y verificar la existencia de un Plan Informtico en ENAMI.

Relevar y evaluar los procedimientos asociados a la generacin, aprobacin, comunicacin y de
materializacin de un Plan Informtico
12.
Tomar conocimiento de la existencia y calidad de las polticas, normas y procedimientos

relacionados con el tema objeto de nuestra auditora.
Evaluar en forma especfica la organizacin del Centro de Informtica y los controles internos
asociados a ellos.
Identificar y evaluar los principales Proyectos Informticos de la Empresa respecto las tendencias
tecnolgicas del mercado y sus correspondientes procedimientos de administracin y control.
13.
14.
III.
METODOLOGA DE AUDITORA
El presente trabajo contempla la obtencin y anlisis de informacin estratgica, planificacin informtica, su

organizacin y control interno especfico del rea de informtica, disponibilidades de recursos informticos,
principales contratos por alianzas-tecnolgicas en concordancia con los objetivos definidos por la Empresa,
vigentes a la fecha de corte. Lo anteriormente sealado se basar en el anlisis de los antecedentes
proporcionados por ENAMI, particularmente por la Gerencia de Informtica, quin entregar la
documentacin e informacin de procedimientos y otros documentos tcnicos relacionados con la gestin
informtica de ENAMI.
Concretamente, en Oficina Central se efectuarn reuniones tcnicas pertinentes con ejecutivos, especialistas,
consultores, ingenieros de sistemas y operadores, todos ellos vinculados al tema de la tecnologa,
procesamiento y explotacin de la informacin, seguridad fsica y lgica del rea de informtica de Oficina
Central de la Empresa Nacional de Minera.
IV.
PROCEDIMIENTOS DE AUDITORIA
Las actividades directamente relacionadas con la determinacin niveles de riesgos, obtencin de pruebas y
evidencias de auditora son las siguientes:
1. Revisar, e identificar aquellas decisiones estratgicas consignadas en las actas de sesiones de directorio,
comit de informtica , polticas informticas y documentacin afn, respecto a temas de seguridad
computacional y ambiente de control del rea de informtica de ENAMI.
2. Revisin del Plan Informtico y verificar el cumplimiento de aspectos estratgicos desde la perspectiva de
seguridad fsica y lgica.
3. Inspeccin ocular a la infraestructura de procesamiento de datos y sus niveles de control de acceso a las
reas restringidas.
4. Revisar contratos de proveedores externos, que entregan servicios estratgicos de procesamiento de
informacin.
5. Constatar en reuniones de coordinacin a los niveles que corresponda, del grado de satisfaccin del
usuario como receptor y beneficiado de las decisiones estratgicas adoptadas.
6. Indagar la existencia de adquisicin, cambio, optimizacin de plataforma de computacional, inserta o
posterior a la elaboracin del Plan Informtico.
7. Verificar la existencia, difusin, ejecucin o prueba de Planes de Contingencias asociados al rea de
informtica.

ENAMI
Programa de Trabajo
Fecha
PREPARACIN Y ENVO DE OFICIO INICIO DE AUDITORIA A 0697

ENAMI.
OBTENCIN DE CONOCIMIENTO:
Obtener antecedentes generales sobre la Gestin estratgica
Informtica:
1
Solicitud de Plan estratgico de la Empresa Nacional de
Minera, slo lo relacionado con temas de tecnologa
informtica.
2
Solicitud del Plan Informtico de la Empresa Nacional de Minera
Actualizado (Institucional o por Plantas)
3
Documento de constitucin de Comit Informtico e Integrantes.
4
Actas de Reuniones relacionados con decisiones de temas
tecnolgicos e informticos y de seguridad lgica y fsica
ltimos perodos.
5
Actas sesiones del Comite de Informtica, ltimos 3 meses.
6
Solicitar fotocopias de contratos de servicios y soporte de
tecnologa de Informacin de carcter estratgico para la
Empresa. (Principales Contratos)
7
Solicitar Auditoras Computacionales o Informticas Recientes.
8
Solicitar Estructura y organizacin funcional del Area de
Informtica. (Organigrama)
9
Solicitar informacin tcnica relacionada con la Plataforma de
Hardware y Software que sustentan el servicio de
procesameiento de datos.
10
Solicitar inventario y/o catastro de computadores personales,
main frame, redes y sistemas de comunicaciones.
11
Solicitar Presupuesto Anual 1995, 1996, 1997 para el rea de
informtica.
12
Solicitar Polticas de Informtica.
13
Solicitar Plan de Contingencias y de Emergencia relacionados
con la gestin y servicio computacional.
14
Otros antecedentes de carcter estratgico-informtico
relacionado con la seguridad y continuidad de las
operaciones.
1
2
3
4
5
Visita en Terreno: (Interiorizarse respecto a:)

La organizacin y calidad del servicio computacional.
Dotacin de RR.HH. Asignados al rea de informtica.
Plataforma y configuracin computacional .
Estndares de hardware y software de la Emrpesa.
Sistemas de Respaldo Magntico.
Antecedentes Legales y Normativas:
Refer.
Control
k

ENAMI
Programa de Trabajo
1
2
.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Solicitar normas internas NE relativas a materias tecnolgicas e

informticas
Antecedentes legales que regulen la adquisicin de bienes y
servicios computacionales y tecnolgicos .
ANLISIS DE LA INFORMACIN OBTENIDA
Evaluar si las inversiones en tecnologa corresponden a lo
definido y descrito en el Plan Informtico.
Evaluar los Estndares informticos con las tendencias del
mercado tecnolgico.
Evaluar la coherencia y aplicabilidad de las Polticas
Informticas con la definicin estratgica de la Empresa
(como negocio).
Evaluar conocimiento y aplicabilidad del Plan de Contingencia
(pruebas)
Comprobar la existencia y operabilidad de sistemas de respaldo
energtico.
Comprobar la existencia de controles preventivos, detectivos y
correctivos frente a siniestros y eventos en torno al rea de
informtica.
Analizar los contratos por incorporacin de tecnologa y
servicios afines con el fin de verificar su legalidad y
cumplimiento con lo definido estratgicamente por la
Empresa.
Comprobar existencia y uso de sistemas de apoyo a la gestin
computacional. (Supervisores y Operadores)
Evaluar la calidad del servicio computacional ofrecido por el
rea de informtica.
Evaluar el Front-End y BackOficce de los sistemas
computacionales.
Evaluar la organizacin y estructura interna de la rea de
informtica.
Verificar y evaluar la funcionalidad definida para el organigrama
del rea de informtica.
Verificar y evaluar la existencia y funcionamiento de
externalizacin de servicios computacionales (outsourcing)
Evaluar los sistemas de comunicaciones con sistemas remotos
(redes corporativas o redes globales. (internet, intranet).
Evaluar el grado de satisfaccin de los usuarios de los servicios
computacionales del rea de informtica.
16
Evaluar el grado de satisfaccin de los usuarios de los servicios

computacionales del rea de informtica.
17
Evaluar el control interno del rea de informtica:
Fecha
Refer.
Control

ENAMI
Programa de Trabajo
Fecha
Refer.
Control
-Existencia de reas restringidas.

-Sistemas detectores de humo, incendios,cambios de temp.
-Sistemas automticos o manuales de expulsin de gas haln 1211.
-Piso y cielo falso.
-Ubicacin y distribucin de cables de seal, Hubs, Rack de
comunicaciones, otros.
-Ubicacin de la sala de cmputos.
- Distribucin del computador,servidores, terminales y perifericos.
-Organizacin de turnos de operadores y supervidores.
-Sistemas de Control de Versiones de programas fuentes.
-Sistema de Control y Seguimiento de Fallas.
-Bitcoras de Procesos, cambio de turnos.
-Procedimientos y mecanismos de respaldo magntico.
-Activacin de Log de eventos.
-Metodologas de Desarrollo
-Soporte tcnico y mantencin equipos personales y Host Central
-Entrenamiento del personal de operaciones en combate de siniestros.
-Verificar cumplimiento de normas internas de seguridad entorno al
area de informtica y sala de cmputos.
-Luces de emergencia
-Conexin de alarmas a centros de Cia. de Bomberos
18
V
1
2
3
4
5
6
7
Evaluar principales Proyectos de ndole Tecnolgicos

PREPARACIN INFORME PRELIMINAR
Objetivo General
Opinin General
Observaciones detalladas con debilidades y recomendaciones
Conclusin
B Direccin de Fiscalizacin
Fiscalizador
Licencias de software para computadores servidores y clientes.

Software de monitoreo de red.
Software antivirus
Configuracin /topologas.
Protocolos
VB

ENAMI
-
Cableado
Numero de nodos.
Numero de usuarios.
Servidores.
Plano de distribucin de la red.
Distancia entre nodos
Paneles de circuitos de red.
Cables conectores.
Sistema operativos de red.
Servicio de postventa.
Bitacora de fallas
Administracin de la Red.
-
Actividad de la Red
Carga de la Red
Estadisticas de error de la red.
Estadisticas de Administracin de la Red
Inventario de las estaciones de trabajo.
Elementos de seguridad de la red.
Consideraciones de costo de la RAL.

-
Software de RAL, adquisicin o licencia

Sofwtare de Aplicacin
Cableado
Tarjetas de circuito LAN
Servidores y UPS
Impresoras
Capacidad de discos.
Repetidores, bridges, gateway
Contratos de mantencin y soporte tcnico.
Administrador de red.
Capacitacin
Auditora de Tecnologas de la Informacin

-
Seguridad y auditora de redes (auditcont)

Respaldos magnticos de disco de la RAL
Crecimiento futuro.
Desarrollo de sistemas en las RAL.
Cuestionario:
1.
Estn combinadas las redes de voz y comunicacin de datos?
2.
Cuantas redes de datos independientes estn en uso en la Empresa?
3.
Cual es la disponibilidad e la red en el ltimo perodo.?
4.
Quien administra la red, cual es su preparacin.?
5.
Que informes y documentacin de red estn estructurados.?
6.
Existe un software de red de administracin de red?
7.
Estn disponibles la seguridad y el control, cual es la poltica y el ambiente de control asociado a
ello?
8.
Cual es el presupuesto anual de la administracin de red, incluyendo todos los recursos
involucrados.?
9.
Cual es el costo de comunicacin mensual o el costo anual para voz y datos.
10.
Histogramas de uso de red (diario, semanal, mensual, numero de errores, o lo que sea
apropiado).
11.
Uso de voz versus uso de datos por circuitos.
12.
Mapas de uso de la red
13.
Lista de todas las conexiones de discado en la red.
14.
Manuales de HW/SW
15.
Plan de contingencias
16.
Estadsticas de mensajes o bloques de datos missing, o alterados.
17.
Existen hotline interno para payo helpdesk de RAL.
_____________________________
www.eduarcoleyton.com
32

Caso Auditoria Programa

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Caso Auditoria Programa

Uploaded by

Copyright:

Available Formats

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

Preparacin y envo carta de notificacin a Auditado

Obtencin de antecedentes Tcnicos generales, relativos a:

Personal que trabaja en el CPD (organigrama)

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

Anlisis de la informacin obtenida

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

Empresa Nacional de Minera

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

Metodologa de Auditora a aplicar

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

Recopilar informacin y conocimiento relativo a la

tratamiento de la informacin. Lo anterior se har en

rijan el accionar de la gestin de informtica.

Solicitar informacin de la organizacin del rea

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

relativo a decisiones adoptadas en

temas de seguridad e incorporacin de tecnologa

contratos con entidades externas de servicio de

Informtico de ENAMI. (Institucional)

Indagar la existencia de un Comit de Informtica

Indagar la existencia de auditoras anteriores que

capacitacin para el rea de de informtica.

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

operaciones y servicio computacional.

Estructuras de Controles Detectivos, Preventivos

tecnologas de informacin en la Empresa de modo de

sus controles internos asociados al

rea de Informtica de la Empresa de Oficina Central

especficos asociados al tema de esta auditora.

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

Evaluar especficamente los niveles de seguridad

estandarizacin, normas de resguardo, integridad y

Evaluar especficamente el ambiente de seguridad

Indagar y analizar la adecuada continuidad de las

Evaluar los principales contratos de asistencia

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

Verificar la existencia, difusin y evaluacin de

definidas entorno a la organizacin y estructura

Evaluar los controles lgicos y fisicos entorno a

dispositivos de interconexin con otros sistemas

Indagar la existencia de procedimientos escritos y

software contaminado por virus computacional.

Relevar y evaluar los procedimientos asociados a

materializacin de un Plan Informtico

Tomar conocimiento de la existencia y calidad de

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

Evaluar en forma especfica la organizacin del

correspondientes procedimientos de administracin

El presente trabajo contempla la obtencin y anlisis

definidos por la Empresa, vigentes a la fecha de corte.

particularmente por la Gerencia de Informtica, quin

relacionados con la gestin informtica de ENAMI.

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

especialistas, consultores, ingenieros

informtica de Oficina Central de la Empresa Nacional

determinacin niveles de riesgos, obtencin de pruebas

estratgicas consignadas en las actas de sesiones de

informticas y documentacin afn, respecto a temas

perspectiva de seguridad fsica y lgica.

Auditora a la Seguridad y Ambiente de Control del Area de Informtica

procesamiento de datos y sus niveles de control de